OpenPGP verschlüsselt E-Mails kostenlos. Allerdings prüft keine unabhängige Instanz die Schlüssel. Nicht nur deswegen ist eine weitere Verschlüsselung empfehlenswert [...]
Die E-Mail-Verschlüsselung per OpenPGP verursacht wenig Aufwand und ist kostenlos verwendbar. Allerdings ist für OpenPGP-Nutzer beim Teilen ihrer öffentlichen Schlüssel Vorsicht geboten.
So funktionieren die Schlüssel
Jeder Nutzer hat wie bei anderen asymmetrischen Verschlüsselungsmethoden einen privaten Schlüssel, der nur ihm bekannt ist. Zusätzlich teilt er mit anderen einen öffentlichen Schlüssel. Die Schlüssel sind im Wesentlichen lange Zahlenreihen, mit denen Nachrichten verschlüsselt werden. Zwischen dem privaten und dem öffentlichen Schlüssel existiert ein mathematischer Zusammenhang. Der E-Mail-Sender verschlüsselt mit dem öffentlichen Schlüssel seine Nachricht, die sich nur mit dem Privatschlüssel des Empfängers entschlüsseln lässt. Theoretisch ist alles sicher, solange der private Schlüssel geheim bleibt.
Schwachstellen im System
Praktisch gibt es jedoch Schwächen im System. Die Sicherheit beruht darauf, dass die Nutzer selbst Schlüssel und Identität des Absenders prüfen – ist also Vertrauenssache. Anders sieht das bei der Inhaltsverschlüsselung mit S/MIME aus. Hier prüft ein unabhängiger Dritter die Identität hinter der E-Mail-Adresse. Auf die Weise entsteht Vertrauen nicht durch die Anzahl der Nutzer, die einen Schlüssel signieren, sondern durch die Hierarchie im Konstrukt der Zertifikatsbehörden.
Das Problem hängt mit der jeweiligen Kurz-ID zusammen, ein achtstelliger Code für einen längeren öffentlichen Schlüssel. Es ist relativ leicht einen öffentlichen Schlüssel zu generieren, dessen Kurz-ID der eines anderen Schlüssels entspricht. Wer seinen Code in sozialen Medien teilt, um sie potenziellen Kommunikationspartnern zugänglich zu machen, liefert Fälschern die Vorlage. Die Folge? Eine mit einem gefälschten Schlüssel codierte Nachricht kann der Empfänger nicht lesen, weil der gefälschte öffentliche Schlüssel nicht zu seinem echten Privatschlüssel passt. Jedoch könnte der Schlüsselfälscher eine Nachricht auch abfangen und den Inhalt mit dem passenden privaten Schlüssel ausspähen. So wird die Sicherheit ausgehebelt. Wer also OpenPGP nutzt, sollte sich auf Lösungen konzentrieren, die den vollständigen Schlüssel aus einer vertrauenswürdigen Quelle importieren. Womit wir wieder bei der Vertrauensfrage sind.
Inhalt- und Transportverschlüsselung kombinieren
OpenPGP ist für den Einsatz im Unternehmensumfeld attraktiv. Es kostet nichts und lässt sich leicht handhaben. Allerdings hat das Vertrauenskonzept Schwächen, was auch die nicht fälschungssicheren Kurz-IDs der öffentlichen Schlüssel einschließt. Deshalb empfiehlt es sich, zusätzlich zur Inhaltsverschlüsselung den Transport der E-Mails per TLS (Transport Layer Security) abzusichern. Die Verschlüsselung schützt dann auch vor möglichen Manipulationen. Diesen derzeit bestmöglichen Sicherheitsansatz bietet die E-Mail-Verschlüsselungslösung totemomail, die Standards wie S/MIME oder OpenPGP mit TLS kombiniert – und zwar nutzerfreundlich.
Die totemo ag bietet Lösungen für E-Mail-Sicherheit, sicheren Datenaustausch und sichere mobile elektronische Kommunikation.
Be the first to comment